【看龙盘兔】-安全从业者的年底好多条

    致自己：马上工作十五年了，当下最不喜欢也不希望看到的就是安全从业者的救世主心态。安全不过是对未来风险不确定性的确定把控。不忘初心，放弃英雄情结，脚踏实地，力之所至。说来也不过一个保证能力，一个信息化、智能化、数字化时代的重要属性，但肯定不是最重要和唯一的属性。  

  时光不辍，岁月如歌。过去的一年，我们如同行走在IT江湖的侠客，披荆斩棘，或挥剑斩妖，或挥毫泼墨，或高歌猛进，或低吟浅唱，龙年将至，新的征程即将开始。在这里总结一些浅薄感悟和见解，愿我们在新的征程中，能够披荆斩棘，勇攀高峰。愿我们在新的挑战中，能够百折不挠，坚韧不拔。愿我们在新的机遇中，各有所得：

    不说大量的开篇语和话术占字数了，直接进入正题，用1、2、3的方式来罗列：

1、全球的立法密度都在增加，而且从处罚案件上来看，执法越来越严格，由此可见，立法趋严会是大势所趋，越来越要求国民安全意识和技术体系的提升，以应对新威胁，从而在根基之上构建国家安全的框架。

2、根据全年会议内容、议题、稿件等来看，关键基础设施、威胁情报、人工智能会成为新的安全三大件，考虑到地缘经济，跨境和合规隐私的结合仍会有很难又很长的路要走。

3、市场反馈上来说，经过口罩三年，凸显了一个核心价值，安全自身价值出现泡沫，自娱自乐自感动情节严重，市场自我价值定位和个人自我感动式的英雄光环的定位同样成为受众咬牙切齿的内容，需要克制。

4、对甲方企业来说，安全不受待见除了安全不是直接效益中心外，安全人员的软实力越来越被大家诟病，比如沟通能力低下、只管杀不管埋，只说问题不说解决方案，只说现象说不明白背景原因，只能说危害不能说风险，只会说法条不会做解读，简单来说就是一个不会治病的医生，只会重启的网管一样。

5、很多行业代表性企业已经进入到标准制定、法律法规参编中，建议更多的行业代表性企业参加，除了有助于增加市场竞争力，对创新发展、促进交流合作和建立壁垒都是有很大的好处的，哪怕看起来是一个沉没成本。

6、从部门机构、教育科研来看，国家安全普惠思想越来越重，会成为市场的导向，当然，国家态度一直是市场的导向，实际市场情况来看并不尽如人意。

7、从教育经历来说，后期的专业性教育，特别是研究生阶段，高校对新技术的敏感性弱于时代市场，落后于技术发展，慢于迭代升级，所以也就要求行业企业对教育的投入，例如校企合作，校外专家等。

8、站在上帝视角来看，除了小部分企业，产业安全能力未成体系化，几个环总有缺失和衔接不足，但对某些企业来说，太重的安全不是必须，合适的状态对企业来说才是舒适的，先治病，后强身。强身健体，适度而为。

9、 在新的风险和防御机制胶着状态中，最容易被忽略、最容易被利用的，仍然是最基础的部分，也是最看不到效果的部分---安全意识。

10、人工智能在各个领域的能力体现不用多说，安全也是，但替代人的唱腔倒也可以歇息一下，就像三十年前的工业机器人一样。

11、随着数据要素系列政策的出台，数据交易虽然看起来快速发展，但前景不明，赢利点不清晰，需要持续关注市场、政策、技术的变化。

12、很多企业的态度是不出事就行，不罚款就行，业务正常就行，就像从牙疼到拔牙，中间有无数次机会，但我们总像那个洪水中的虔诚教徒：我在等上帝派天使来救我！浪费了一次次的机会，最后只能吐出一排汽泡（要你们安全有何用）！

13、企业内部安全负责人建议更多关于行业关联情报，和业务上下游做好关联，既能实现信息共享，又能提升供应链安全管控，另外，数据安全和隐私合规，在以后很长时间甚至一直都会是监管重点，没有侥幸，毕竟某宇宙第一大行都能被勒索。

14、关于新技术的想法：

    AI和ML持续发展，逐渐成为基础能力

    量子计算，拭目以待

    虚拟化和容器安全好像被市场遗忘了

    新型的安全意识培训方式或许会和游戏类进行结合，比如VR

15、关于企业安全能力建设：

1. 领导不重视，以前、现在、以后都会是最大的障碍。
   

2. 需要合理的组织架构，3%不是上限，企业越大越明显。

3. 需要投入资源，包括人力、资金和技术措施：

4. 不要吝啬去建立、管理流程，哪怕影响效率：

5. 应急响应与恢复做得好，什么勒索也不怕：

6. 车、马、炮，将、相、士，各有价值，安全团队的leader，一定是能文能武的人，挖洞第一或许也无法说服一个研发接受你的想法，更何况还要问老板要钱。

7. 全员、特色的人员培训和意识教育要像国家对反诈APP一样不厌其烦。

8. 安全和风险就像医院和病毒，只有当下安宁，没有永久的高枕无忧

9. 外来的和尚会念经，可以是你的软肋，也可以是你的盔甲，为何你不能请一个外来的和尚呢？

祝大家新年大吉，龙年“安全”，龙行龘龘，不足之处还请海涵。